GitHub Programari maliciós que ataca projectes a l'IDE NetBeans i utilitza el procés de creació per estendre's. La investigació va demostrar que utilitzant el programari maliciós en qüestió, que va rebre el nom d'Octopus Scanner, les portes del darrere es van integrar de manera encoberta en 26 projectes oberts amb repositoris a GitHub. Els primers rastres de la manifestació Octopus Scanner es remunten a l'agost de 2018.
El programari maliciós és capaç d'identificar els fitxers del projecte NetBeans i afegir el seu codi als fitxers del projecte i als fitxers JAR compilats. L'algorisme de treball es redueix a trobar el directori NetBeans amb els projectes de l'usuari, enumerar tots els projectes d'aquest directori, copiar l'script maliciós a i fer canvis al fitxer cridar aquest script cada vegada que es construeix el projecte. Quan es munta, s'inclou una còpia del programari maliciós als fitxers JAR resultants, que es converteixen en una font de distribució posterior. Per exemple, es van publicar fitxers maliciosos als dipòsits dels 26 projectes de codi obert esmentats anteriorment, així com diversos altres projectes quan es publicaven compilacions de noves versions.
Quan el fitxer JAR infectat va ser descarregat i llançat per un altre usuari, va començar un altre cicle de cerca de NetBeans i d'introducció de codi maliciós al seu sistema, que correspon al model operatiu dels virus informàtics autopropagats. A més de la funcionalitat d'autopropagació, el codi maliciós també inclou la funcionalitat de la porta posterior per proporcionar accés remot al sistema. En el moment de l'incident, els servidors de control de la porta posterior (C&C) no estaven actius.
En total, en estudiar els projectes afectats, es van identificar 4 variants d'infecció. En una de les opcions, per activar la porta del darrere a Linux, es va crear un fitxer d'inici automàtic "$HOME/.config/autostart/octo.desktop" i, a Windows, es van llançar tasques mitjançant schtasks per llançar-lo. Altres fitxers creats inclouen:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteca/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Main.class
La porta del darrere es podria utilitzar per afegir marcadors al codi desenvolupat pel desenvolupador, filtrar el codi dels sistemes propietaris, robar dades confidencials i fer-se càrrec dels comptes. Els investigadors de GitHub no descarten que l'activitat maliciosa no es limiti a NetBeans i pot haver-hi altres variants d'Octopus Scanner que s'incorporen al procés de creació basat en Make, MsBuild, Gradle i altres sistemes per difondre's.
No s'esmenten els noms dels projectes afectats, però poden ser-ho fàcilment mitjançant una cerca a GitHub amb la màscara “cache.dat”. Entre els projectes en què es van trobar rastres d'activitat maliciosa: , , , , , , , , , , , , .
Font: opennet.ru